CyberWal: une “union sacrée” en cyber-sécurité pour gagner en compétences et indépendance

Article
Par · 01/12/2021

Ces derniers mois – les premiers de son existence -, “il” fut nettement moins visible que son cousin TrAIL mais le collectif CyberWal est bien une réalité depuis près d’un an. Là où le TrAIL opère dans le champ de l’intelligence artificielle, CyberWal (Cyber Security for Wallonia) est l’alliance-coupole réunissant les acteurs wallons de la recherche ainsi que des acteurs de la vie économique intéressés par la cyber-sécurité.

Parties prenantes du côté recherche et universités: les chercheurs en cybersécurité opérant au sein des 5 universités francophones (l’ULB y figure aux côtés de ses collègues wallonnes en raison de ses activités dans le sud du pays) et des centres de recherche agréés (Cetic, Multitel, Sirris). Egalement associés et parties prenantes, les centres de compétences (réseau Numeria, Eurometropolitan eCampus…). Côté industriels, on retrouve de grands noms, tels que Thalès, Alstom mais aussi des acteurs locaux plus modestes.

La “coupole” CyberWal, explique Axel Legay (de l’institut ICTM et professeur en cyber-sécurité à l’UCLouvain), qui en est le coordinateur, est née d’un constat: “Les projets que déposaient chercheurs ou acteurs [que ce soit dans le cadre d’appels à projets européens ou dans un contexte plus local] étaient disparates [Ndlr: et donc non alignés, voire potentiellement redondants]. Par ailleurs, les consortiums qui se formaient étaient trop modestes, invisibles à l’échelle européenne”. D’où la nécessité reconnue de s’allier pour peser davantage et, surtout, pour travailler de manière plus efficace et pertinente. “L’objectif est de parvenir à des accomplissements communs plus puissants, pour lutter contre le saupoudrage des moyens alloués à la recherche et prouver par la même occasion les compétences locales”.

 

“L’objectif de l’institut virtuel CyberWal est de promouvoir la recherche, l’innovation et la formation en cybersécurité, tout en assurant une coordination forte entre ces métiers, afin de développer des synergies. Le tout, en cohérence avec la politique régionale menée dans ce domaine.”

 

Depuis un an, les membres de ce collectif se réunissent et discutent de sujets touchant aux modes de collaboration possibles, à la manière de “massifier les collaborations”, à l’identification de défis industriels sur lesquels plancher…

L’existence de CyberWal a soudain été mise en lumière voici quelques jours à la faveur de l’annonce d’un budget de 18,9 millions d’euros (sur quatre ans) octroyé par la Région wallonne pour son fonctionnement et, plus spécifiquement, pour le financement d’un premier projet de recherche baptisé Cyber Excellence (voir ci-dessous). 

Les besoins en formation

En parallèle et selon un axe déjà activé (et qui est l’un des axes majeurs de CyberWal), cet “institut virtuel” déploiera des activités dans le champ de la formation. Elément essentiel pour la conscientisation d’un public le plus large possible et, surtout, le développement de compétences – depuis les plus basiques jusqu’aux plus pointues. C’est la raison pour laquelle les centres de formation sont également parties prenantes au montage. Objectif: “former des techniciens et des talents, en bénéficiant de formations pointues sur les résultats de recherche les plus récents, mais aussi sur les “bases” de la cyber-sécurité”.

Axel Legay distingue trois cibles” pour ces formations: “Les talents oubliés, c’est-à-dire des personnes ne disposant pas nécessairement d’un diplôme orienté cybersécurité, ou autre, mais ayant des compétences [activables].

Axel Legay (CyberWal): “Le but est de densifier l’offre et de toucher tous les points du territoire.” © UCLouvain

D’autre part, les diplômés, qui ne sont plus heureux dans leur job actuel [et qui désirent dès lors se réorienter ou enrichir leurs connaissances dans le domaine de la cyber-sécurité].

La reconversion des talents actuels est une nécessité. On peut par exemple considérer que 68% des emplois IT, dans les grandes entreprises, ont besoin d’une formation ou reconversion en cyber-sécurité. C’est de l’ordre de 35% pour les plus petites entreprises.

Enfin, troisième pilier, la formation de pointe, par exemple pour les besoins de secteurs tels que le spatial, la logistique…”

Un travail d’audit des formations et potentiels de formation existants et de ceux qui sont et seront nécessaires a été engagé.

“Le but est de mutualiser les formations, dont l’organisation, pour des raisons pratiques, est parfois difficile dans certaines parties de la région ou dans certaines provinces. Le but est de densifier l’offre et de toucher tous les points du territoire.”

L’agenda est assez serré: bilan et dépôt de propositions d’ici quelques mois (notamment pour bénéficier de fonds d’origine européenne), “massification” de l’offre d’ici un an, dispositif pleinement opérationnel d’ici deux ans.

“Ma vision des choses est que nous disposons des formateurs mais qu’un travail d’union est nécessaire. En Belgique, en Belgique francophone, on dispose de beaucoup d’universités avec de très bons formateurs en cyber-sécurité, domaine IT qui bénéficie de la plus forte adhésion. On a réussi à faire revenir d’excellents professeurs.

S’y ajoutent encore les centres de formation, qui peuvent faire appel à des formateurs indépendants, en ce compris, pour un niveau de formation plus basique, ceux issus de viviers tels que BeCode. Cela permet de couvrir tous les besoins…

Voici encore quelques mois, je n’étais pas très optimiste. Mais, depuis, l’évolution a pris une tournure positive. L’union sacrée en matière de cyber-sécurité sera bientôt une réalité. Reste à déterminer qui fait quoi.”

L’enjeu, selon Axel Legay, n’est désormais plus de faire de la sensibilisation mais de se lancer réellement dans la formation, sur la totalité du spectre des besoins et niveaux de compétences. “Il faut en effet des produits qui soient sécurisés, sur toute la chaîne de valeur. Et l’on parle ici non seulement de développements de logiciels mais aussi par exemple de dispositifs IoT pour lesquels, jusqu’ici, la (cyber-)sécurité n’a pas fait partie des préoccupations lors de leur conception…”

Voilà qui nous amène à l’une des thématiques mises en exergue dans le cadre du premier projet de recherche approuvé (et financé) par la Région.

Premier projet de recherche

Porté par la Région, les universités et les centres de recherche Cetic et Multitel, le projet Cyber Excellence servira de premier exercice réel et d’amorceur-de-pompe. Objectif: “créer un noyau d’outils permettant d’implémenter des solutions basées sur une cyber-sécurité efficace , réfléchie, respectueuse de nos valeurs [lisez: notamment en accord avec les préceptes du RGPD européen], propres à conférer un avantage concurrentiel à la Wallonie”.

Source: Agoria

Cyber Excellence est un projet de recherche fondamentale, à finalité industrielle (niveau TRL-Technical Readiness Level- 2 à 4, autrement dit les stades de formulation et de conception en labo), avec pour objectif de concevoir des “briques” – logicielles ou matérielles – qui seront versées dans la “factory” de CyberWal, exploitables dans la perspective de démonstrateurs et d’une réutilisation à terme (sur un principe d’open source) par des entreprises, qu’elles soient des acteurs de la cyber-sécurité, des sociétés et acteurs utilisant des solutions de cyber-sécurité pour se protéger, ou des développeurs indépendants.

Les thématiques de développement s’inspireront des idées et orientations des centres de recherche et des spécialistes cybersécurité ainsi que des besoins relayés par les acteurs économiques et industriels. Un exercice d’identification de ces “défis” se fera selon un calendrier bisannuel, “avec adaptation des objectifs en conséquence”.

Comme c’est le cas du côté du TrAIL, les “défis” sur lesquels travailleront les chercheurs et parties prenantes de CyberWal devront nécessairement être des “défis collectifs, trans-sectoriels, pouvant potentiellement bénéficier à plusieurs sociétés”. Aucune priorité n’est envisagée, pour les finalités des travaux de recherche, au profit d’un secteur plutôt qu’un autre.

On a certes beaucoup parlé du secteur médical ces derniers temps [en raison des cyber-attaques qui ont touché divers hôpitaux] mais la problématique est transversale, les remèdes potentiellement applicables à tous les secteurs, privés comme publics.

Même si l’objectif, en soi, n’est pas de voir se créer des start-ups et des spin-offs sur base des recherches qui seront effectuées et des développements qui seront réalisés pour la “factory”, “ce sera un effet potentiel”, déclare Axel Legay. “Le WSL, par exemple va nous accompagner pour la prise en compte de la matrice MatMax qui inclut à la fois l’axe de maturité technologique (TRL) et l’axe de maturité commerciale (CRL).”

Cinq premiers périmètres de recherche

Dans le cadre du projet Cyber Excellence, les travaux de recherche s’organiseront selon cinq lignes de force:
– la cyber-sécurité “by design”, dès le stade de la conception – “cette approche est recommandée voire exigée par le RGPD et les directives NIS et NIS2”
– le test et le phasage de systèmes embarqués, avec garantie de cyber-sécurité opérationnelle et potentiel de détection d’attaques et de remédiation ; parmi les domaines d’application plus particulièrement visés: la sécurisation des communautés d’énergie et celle de la 5G
– le respect du RGPD, des préceptes éthiques et l’application des principes d’anonymisation des données – pour ce faire le projet s’appuiera sur une groupe de travail juridique et éthique

Des infrastructures, telle celle mise en oeuvre par Thalès (ici à Tubize), peuvent potentiellement servir de ressources pour la création de “cyber-ranges”…

– l’entraînement et la sensibilisation via des cyber-ranges (plates-formes de simulation d’incidents de sécurité, servant à la formation technique et devant également favoriser la “création d’un esprit de cohésion au sein d’équipes et de communautés”)
– la “souveraineté” via la création de compétences et de solutions en chiffrement de données et stockage sur un cloud souverain, qui soit “le plus vertueux et indépendant possible d’intérêts étrangers”.

Sur ce dernier point, Axel Legay souligne toute l’importance – à la fois stratégique et économique – qu’il y a à “ne pas devoir acheter des solutions de cyber-sécurité étrangères”. Pour garantir l’indépendance, réduire les risques, concevoir des produits plus ethniquement responsables…

Cette “souveraineté” passe notamment par une meilleure prise de conscience de nos capacités et potentiels mais aussi par un retour de la fierté: “Il manque chez nous un esprit de cohésion, la fierté de faire quelque chose en Belgique, en Europe.”

Selon lui, le problème vécu avec certaines initiatives [il cite l’exemple des tentatives de moteurs de recherche conçus localement] est qu’un éditeur venu de tel ou tel pays donne l’impression de vouloir imposer cette solution nationale à tous les pays européens. “Il faudrait davantage travailler tous ensemble, avec une capacité de financement suffisante.”

A ses yeux, le “made in Europe” a encore toutes ses chances à condition que la tentation de la suprématie disparaisse. La conception nationale de produits changera si on passe par une coalition de petits pays – Belgique, Luxembourg, Estonie… On peut aller très loin avec des produits européens, made in Europe…”

 

Axel Legay (CyberWal): “La question est de savoir si on alimente ces structures mondiales ou si on le fait nous-mêmes. Notre système éducatif est très fort, très bien financé. Les gens sont bien formés. Nous avons la capacité d’innovation nécessaire.”

 

D’un point de vue purement commercial, dans une optique de potentiel de viabilité pour des sociétés locales, est-il raisonnable d’espérer qu’elles aient les moyens nécessaires pour se faire une place au soleil, face au rouleau compresseur, au bagage et aux moyens qu’ont des acteurs américains ou israéliens (par exemple)? La spécificité que l’Europe veut induire dans la cyber-sécurité est un argument et un levier. Côté moyens, on l’a vu, Axel Legay plaide en faveur de la massification et de la coalition des moyens.

Il ajoute que côté compétences, des initiatives locales ont en effet toutes leurs chances. Pour deux raisons essentielles. D’une part, il existe certes de (très) grandes entreprises spécialisées dans la cyber-sécurité. “Mais des groupes comme Thalès s’appuient eux aussi sur des start-ups. Les structures plus petites se concentrent souvent sur des spécificités plus fines en termes de recherche.” Avec un potentiel d’innovation différencié.

Deuxième raison: “Nombre de ces grandes structures américaines, israéliennes… comptent dans leurs rangs beaucoup de Belges. La question est donc de savoir si on alimente ces structures mondiales ou si on le fait nous-mêmes. Notre système éducatif est très fort, très bien financé. Les gens sont bien formés. Nous avons la capacité d’innovation nécessaire.”